1. O NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS
IPAI – Fórum de Directores de Auditoria Interna
Lisboa, 26 de Janeiro de 2017

2. O NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS (“RGPD”)
1. O RGPD: conceitos-chave em matéria de protecção de dados pessoais.
2. O RGPD: o que é realmente novo?
3. O RGPD: como e por onde devem as organizações começar?

3. 1
CONCEITOS-CHAVE

4. O NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS
Dados pessoais:
Informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»)
A informação, pode ser: fáctica; opinativa, sugestiva, conjectural, verdadeira ou falsa, concreta ou abstracta, provisória ou
definitiva, certa ou incerta, completa ou incompleta, e residual, et cetera…
Os dados podem constar de qualquer suporte, seja ele físico, virtual, tecnológico, sonoro ou gráfico. Devemos estar alerta para
situações menos plausíveis ou previsíveis. Devemos estar alerta para o seguinte:
• Os dados podem estar incorporados/vertidos nos lugares mais inesperados. Basta imaginar, por exemplo, o conhecido caso
das matrículas automóveis ou, por exemplo, as pulseiras que os doentes recebem e colocam na triagem de um hospital.
• O único suporte que não deverá ser considerado talvez seja o cérebro humano.
O QUE SÃO DADOS PESSOAIS?

5. O NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS
O QUE É O TRATAMENTO DE DADOS PESSOAIS?
Tratamento de dados pessoais:
Qualquer operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não
automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização,
a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a
destruição.
Sempre que encontrarmos dados pessoais numa organização, então mais vale considerar que existe tratamento de dados pessoais!
Como é que se sabe se se está perante um ou mais tratamentos de dados pessoais?
A resposta está na finalidade das operações de tratamento. Existirão tantos tratamentos quantas as finalidades com que os dados
pessoais são tratados.
Exemplo: os dados de compras dos clientes podem, numa dada organização, ser arrumados em 20 bases de dados diferentes e
“manipulados” por 100 aplicações informáticas distintas, mas esses dados pessoais são tratados com as seguintes finalidades:
marketing, contabilidade, combate à fraude e revenue assurance. Portanto, estaremos perante três tratamentos distintos de dados
pessoais.

6. O NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS
QUANDO É QUE AS EMPRESAS PODEM TRATAR DADOS?
1. Quando exista consentimento livre, informado e expresso (e demonstrável) por parte dos respectivos titulares.
2. Quando exista um fundamento legal específico para o tratamento.
3. Quando o tratamento seja essencial para execução de um contrato.

7. 2
O RGPD:
O QUE É REALMENTE
NOVO?

8. O NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS
LEGISLAÇÃO SOBRE PROTECÇÃO DE DADOS PESSOAIS: COMO FOI ATÉ AQUI?
1. Legislação antiquada, paradigma burocrático e excessivamente de hetero-regulação – com notificações e autorizações prévias da
CNPD – e menor atenção à substância.
2. Práticas regulatórias muito diferenciadas no espaço europeu, com distorções da concorrência.
3. Grandes deficiências “regulatórias” e de enforcement em Portugal: falta de meios, deficiente capacidade de resposta, prazos de
concessão de autorizações de anos, visão excessivamente burocrática e pro protecção da privacidade por parte da Autoridade e
desconsideração dos impactos na actividade económica.
4. Falta de awareness dos cidadãos, das empresas, das organizações públicas, dos tribunais e da academia.
5. Coimas de valor muito reduzido para a generalidade dos agentes económicos.
Progressiva alteração do paradigma

9. O NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS
O RGPD: COMO VAI SER?
O NOVO REGULAMENTO GERAL SOBRE A PROTECÇÃO DE DADOS PESSOAIS, APLICÁVEL A PARTIR DE 25 DE
MAIO DE 2018
1. Regulamento de aplicação directa e transversal em todo o espaço europeu e a todos os sectores de actividade.
2. Alteração do paradigma de hetero-regulação para um paradigma essencialmente de auto-regulação.
3. Agravamento exponencial dos riscos (económicos, sancionatórios e reputacionais) resultante, entre o mais, da introdução de coimas mais
elevadas (até € 20.000.000,00 ou até 4% do volume de negócios do infractor) e de obrigações de disclosure de violações de dados pessoais
(data breach) ao regulador e aos titulares de dados pessoais.
4. Introdução de um vasto conjunto de obrigações para as empresas e organizações, entre as quais se destacam: (i) obrigatoriedade de
levantamento e registo de todos os tratamentos de dados pessoais; (ii) obrigações de realização de privacy impact assessments; (iii) obrigação
de designação de um encarregado da protecção de dados (“Data Protection Officer”).
5. Reforço dos direitos dos titulares de dados pessoais (direito a ser esquecido, direito à portabilidade, direito de informação e de acesso) e
reforço do papel e das exigências dos respectivos consentimentos para tratamentos de dados pessoais.
Um novo paradigma regulatório

10. O NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS
RGPD: O QUE É REALMENTE NOVO?
 Um quadro sancionatório muito duro para as empresas.
 O paradigma de auto-conformação que passa, desde logo, por fazer o levantamento de todos os tratamentos de
dados pessoais realizados em cada organização e, a partir daí, conformar todos esses tratamentos com as normas
do RGPD. Tudo, na maior parte dos casos, sob a autoridade de um Data Protection Officer.
 Obrigação de comunicação de violação de dados pessoais (data breach) à Autoridade de Controlo e aos próprios
titulares de dados pessoais.
 Um reforço significativo dos direitos dos titulares dos dados pessoais com o surgimento de “novos” direitos com
impactos significativos nas organizações: direito ao esquecimento e direito à portabilidade dos dados pessoais.
Risco para a privacidade
O que verdadeiramente muda é que as organizações não vão poder
ignorar a protecção de dados pessoais e da privacidade

11. O RGPD:
COMO E POR ONDE
COMEÇAR?

12. O NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS
COMO E POR ONDE COMEÇAR?
1. Meios Reunir uma equipa com três vertentes (com especialização em
protecção de dados):
 jurídica
 técnica – sistemas de informação
 consultadoria – gestão de risco e procedimentos internos
2. Assessment Verificar qual é o nível de conformidade actual da organização com o
RGPD – Gap Analysis em 3 dimensões: jurídica; sistemas de informação;
políticas e normas internas
3. Estratégia de conformação Definir uma estratégia de conformação que:
 Estabeleça o nível de investimento a realizar
 Estabeleça prioridades de conformação consoante as áreas de maior
risco para a privacidade
 Estabeleça, em função das premissas anteriores, um plano de execução
da estratégia definida

13. Para mais informações, visite a
nossa página em:
www.mlgts.pt
Tiago Félix da Costa
tfcosta@mlgts.pt - 932542427
Muito obrigado!